【正文】 方案優(yōu)勢易用性高：相對于使用硬件USB KEY而言，需要用戶在PC環(huán)境下插入U(xiǎn)SB KEY，安裝驅(qū)動(dòng)、下載用戶證書等繁瑣操作，云CA設(shè)計(jì)下的用戶證書申請流程即為便利。如簽名服務(wù)器，一套簽名服務(wù)器即可為電子保單使用，也可為網(wǎng)上商城所使用。 如果業(yè)務(wù)系統(tǒng)為基于移動(dòng)終端的APP應(yīng)用系統(tǒng)，則需要在業(yè)務(wù)系統(tǒng)APP和業(yè)務(wù)系統(tǒng)后臺進(jìn)行改造，首先在業(yè)務(wù)系統(tǒng)APP的登錄功能和關(guān)鍵業(yè)務(wù)功能增加調(diào)用移動(dòng)認(rèn)證平臺APP的接口，實(shí)現(xiàn)在業(yè)務(wù)系統(tǒng)的登錄和關(guān)鍵業(yè)務(wù)使用移動(dòng)終端的動(dòng)態(tài)口令認(rèn)證。因此移動(dòng)認(rèn)證平臺提供對外服務(wù)的二維碼登錄認(rèn)證結(jié)果接口。對接主要集中在業(yè)務(wù)系統(tǒng)后臺和信安世紀(jì)移動(dòng)認(rèn)證平臺后臺系統(tǒng)的對接。另一方面，在傳統(tǒng)的使用環(huán)境下，用戶使用硬件的USB KEY也存在一定的不便，比如KEY的驅(qū)動(dòng)常常與PC環(huán)境不兼容，登陸過程過于繁瑣。強(qiáng)大的審計(jì)功能保證了對用戶的操作進(jìn)行審計(jì)記錄，并且可以按照管理員要求進(jìn)行特殊的行為日志記錄。. 方案架構(gòu). 業(yè)務(wù)實(shí)現(xiàn)流程1 國聯(lián)人壽應(yīng)用系統(tǒng)生成用戶的快捷支付開通或付款指令；2 通過軟件以及標(biāo)示國聯(lián)人壽身份的數(shù)字證書實(shí)現(xiàn)對預(yù)傳數(shù)據(jù)的數(shù)字簽名；3 通過無錫農(nóng)商行發(fā)布的SSL加密隧道傳遞經(jīng)過簽名的數(shù)據(jù)；4 無錫農(nóng)商行獲取數(shù)據(jù)后，完成驗(yàn)簽名，并完成相關(guān)的業(yè)務(wù)指令；5 無錫農(nóng)商行將業(yè)務(wù)回執(zhí)通過國聯(lián)人壽NSAENB構(gòu)建的SSL加密隧道返回給國聯(lián)人壽，NSAENB設(shè)備收到該回執(zhí)后，進(jìn)行數(shù)據(jù)脫密；6 NSAENB設(shè)備為AllinOne設(shè)備，在本項(xiàng)目中同時(shí)提供SSL與負(fù)載均衡功能，SSL加速設(shè)備通過對SSL的數(shù)據(jù)分析之后，將訪問流量發(fā)送給負(fù)載均衡模塊，負(fù)載均衡模塊按照不同的應(yīng)用類型(服務(wù)端口)或者訪問路徑(URL)等信息，并且根據(jù)不同的算法，將流量智能的分配到不同的應(yīng)用服務(wù)器，完成處理。如簽名服務(wù)器，一套簽名服務(wù)器即可為電子保單使用，也可為網(wǎng)上商城所使用。4) 在一些涉及到領(lǐng)導(dǎo)審批等重要操作環(huán)節(jié)，客戶需要通過ActiveX控件將交易的信息進(jìn)行數(shù)字簽名，并將這些簽名信息通過SSL加密隧道一層一層的傳輸?shù)綉?yīng)用服務(wù)器上，應(yīng)用服務(wù)器通過API的調(diào)用和簽名服務(wù)器進(jìn)行交互，由簽名服務(wù)器進(jìn)行驗(yàn)簽操作，完成后交給應(yīng)用存檔，以實(shí)操作者對簽名操作的抗抵賴性。員工還可通過證書管理系統(tǒng)來進(jìn)行證書的作廢、更新等證書管理操作。n 提供數(shù)字證書查詢功能，查詢RA數(shù)據(jù)庫中已有的員工相關(guān)信息。 OA系統(tǒng) 說明：對于內(nèi)網(wǎng)的應(yīng)用而言，可以通過NetCertCA系統(tǒng)所頒發(fā)的數(shù)字證書與微軟的AD域控進(jìn)行集成，在用戶登錄AD域控時(shí)，通過數(shù)字證書進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)身份認(rèn)證。另一方面，在本項(xiàng)目中，通過在關(guān)鍵節(jié)點(diǎn)部署負(fù)載均衡系統(tǒng)，將應(yīng)用的A/S（Active/Standby）架構(gòu)升級至A/A架構(gòu)，按照雙節(jié)點(diǎn)部署的典型應(yīng)用下，系統(tǒng)容量理論值增加一倍。6) 在一些涉及到用戶資金的交易過程中，客戶需要通過ActiveX控件將交易的信息進(jìn)行數(shù)字簽名，并將這些簽名信息通過SSL加密隧道一層一層的傳輸?shù)綉?yīng)用服務(wù)器上，應(yīng)用服務(wù)器通過API的調(diào)用和簽名服務(wù)器進(jìn)行交互，由簽名服務(wù)器判斷簽名數(shù)據(jù)在經(jīng)過網(wǎng)絡(luò)傳輸過程中是否經(jīng)過惡意篡改，以及實(shí)現(xiàn)抗抵賴性. 方案優(yōu)勢n 高可用性對于鏈路而言，當(dāng)一條鏈路失效時(shí)，信安世紀(jì)全局負(fù)載均衡系統(tǒng)可瞬時(shí)感知鏈路通斷狀態(tài)，并且屏蔽該鏈路對應(yīng)的公網(wǎng)DNS地址，引導(dǎo)后續(xù)流量從正常ISP線路入站，對用戶屏蔽線路故障。. 業(yè)務(wù)實(shí)現(xiàn)流程1) 客戶根據(jù)需求使用瀏覽器訪問網(wǎng)上商城不同業(yè)務(wù)的域名或服務(wù)。. 實(shí)現(xiàn)方式以B/S結(jié)構(gòu)為基本應(yīng)用框架 l 采用數(shù)字證書作為用戶身份認(rèn)證憑證 l 以數(shù)字證書為基礎(chǔ)實(shí)現(xiàn)應(yīng)用安全 l 以SSL實(shí)現(xiàn)加密傳輸和身份認(rèn)證 l 以數(shù)字簽名實(shí)現(xiàn)抗抵賴和防篡改 l 保證在互聯(lián)網(wǎng)上通信數(shù)據(jù)安全 . 方案架構(gòu). 功能分析1) 采用信安世紀(jì)NetCertCA系統(tǒng)為網(wǎng)上商城建立認(rèn)證中心系統(tǒng)（CA），該系統(tǒng)可為網(wǎng)上銀行用戶簽發(fā)數(shù)字證書。 . 完整性 保證收到的數(shù)據(jù)與發(fā)送的數(shù)據(jù)完全一致。. 系統(tǒng)平移 由于國聯(lián)人壽目前已經(jīng)采用了北京CA所提供的數(shù)字簽名服務(wù)器完成電子保單的生成任務(wù)。. 帶數(shù)字簽名電子保單生成流程1. 客戶登陸公司網(wǎng)站，查看并選擇險(xiǎn)種。當(dāng)用戶購買并確認(rèn)提交保單后，APP應(yīng)用服務(wù)器將用戶信息、險(xiǎn)種信息、保險(xiǎn)條款等按照定義的保單模板組合，調(diào)用文件生成API（HTML文件不需要生成API），生成指定格式的原始電子保單。4 數(shù)字證書的選擇目前，根據(jù)國聯(lián)人壽的計(jì)劃，將自行部署一套CA系統(tǒng)，通過該CA系統(tǒng)為各個(gè)使用者頒發(fā)數(shù)字證書。2 PKI技術(shù)PKI系統(tǒng)全稱為公鑰基礎(chǔ)設(shè)施系統(tǒng)，按照類型可以分為兩塊，如下所示：PKIPKI基礎(chǔ)設(shè)施數(shù)字證書全生命周期管理平臺CARAKMCLDAPOCSPTSA…PKI應(yīng)用支撐SSLVPN(SSL/IPSEC)數(shù)字簽名系統(tǒng)動(dòng)態(tài)密碼系統(tǒng)客戶端介質(zhì)USB KEYOTP證書頒發(fā)系統(tǒng)：主要實(shí)現(xiàn)數(shù)字證書全生命周期管理，有以下部分組成：n CA：數(shù)字證書簽發(fā)的核心，負(fù)責(zé)簽發(fā)和管理所有的證書及證書廢止列表（CRL）；n RA：數(shù)字證書注冊系統(tǒng)，所有用戶通過RA系統(tǒng)完成注冊后，向CA發(fā)送申請，獲取證書；n KMC：提供加密證書提供密鑰對的產(chǎn)生、保存、恢復(fù)服務(wù)，防止使用者惡意加密文件所導(dǎo)致的文件無法訪問； n OCSP：提供標(biāo)準(zhǔn)的“在線證書狀態(tài)協(xié)議”（Online Certificate Status Protocol）應(yīng)答服務(wù)，負(fù)責(zé)向請求者返回特定證書的狀態(tài)，完成即時(shí)的證書狀態(tài)查詢功能。n LDAP：公共信息存儲；n RADS：RADS是信安NetCert 系統(tǒng)提供的開發(fā)軟件包，RADS提供了C語言和Java語言接口的CA應(yīng)用開發(fā)工具，能方便地嵌入到Java應(yīng)用服務(wù)器中又能夠支持其他采用C語言開發(fā)的應(yīng)用系統(tǒng)，提供全部的證書管理功能n EEDS：CA Server與最終用戶之間的連接器（Connector），EEDS將處理CA Server與最終用戶之間的證書自主管理請求與響應(yīng)n NetCertEnroll：CA 系統(tǒng)的用戶端的證書管理控件，NetcertEnroll控件通過web方式下載，并在瀏覽器中運(yùn)行，與EEDS配合，實(shí)現(xiàn)更加安全的最終用戶自主證書管理功能。目前已規(guī)劃在網(wǎng)上商城、OA系統(tǒng)、在線支付系統(tǒng)、電子保單系統(tǒng)使用PKI技術(shù)以增強(qiáng)其安全性?，F(xiàn)階段，原始的電子保單格式一般采用HTML、PDF格式，這兩種格式是目前互聯(lián)網(wǎng)和客戶主機(jī)非常通用的格式文件，用戶使用時(shí)不需要額外的軟件安裝和設(shè)置。2. 所有客戶的操作由WEB服務(wù)器送到APP應(yīng)用服務(wù)器進(jìn)行應(yīng)用業(yè)務(wù)邏輯處理。但計(jì)劃中將建設(shè)一套PKI基礎(chǔ)設(shè)施平臺，該平臺中既包括了信安世紀(jì)數(shù)字簽名服務(wù)器系統(tǒng)。 . 有效性 通信報(bào)文不能被篡改或泄露 . 不可否認(rèn)性 具備數(shù)字簽名/驗(yàn)證簽名功能，能為通信雙方提供關(guān)鍵數(shù)據(jù)的不可否認(rèn)性。2) 數(shù)字證書的簽發(fā)管理通過網(wǎng)上商城用戶注冊系統(tǒng)（RA）實(shí)現(xiàn)，RA系統(tǒng)以加密方式連接到CA系統(tǒng)，實(shí)現(xiàn)證書的申請、簽發(fā)、作廢、更新等操作。2) 用戶產(chǎn)生DNS解析請求，最終會命中信安世紀(jì)NetOptiNL設(shè)備，NetOptiNL設(shè)備根據(jù)用戶所屬ISP，返回網(wǎng)上商城對應(yīng)資源的公網(wǎng)IP地址，實(shí)現(xiàn)域名解析，快速入站的能力。對于應(yīng)用而言當(dāng)系統(tǒng)的某個(gè)節(jié)點(diǎn)出現(xiàn)關(guān)機(jī)、宕機(jī)、重啟或者網(wǎng)卡載波丟失（連接斷開）時(shí)，所有的流量就會被立即轉(zhuǎn)到另一臺熱備設(shè)備上。n 可維護(hù)性 基于Web和命令行的服務(wù)帶來高可維護(hù)性。也可以與單點(diǎn)登陸系統(tǒng)進(jìn)行對接，用戶在登陸單點(diǎn)登陸系統(tǒng)時(shí)，需要出示數(shù)字證書，通過驗(yàn)證后才可登陸單點(diǎn)登陸系統(tǒng)。n 提供日志查詢功能，對操作RA的操作員所做的功能操作都要有日志記錄；同時(shí)提供日志查詢界面n 需要將RA應(yīng)用系統(tǒng)集成在國聯(lián)金融OA系統(tǒng)中，并且由國聯(lián)金融OA系統(tǒng)的管理員來操作數(shù)字證書